Navzdory tomu, že trhy s kryptoměnami jsou uvězněny v těžké medvědí recesi, podvody a hacky ve Web3 byly v plamenech po celý rok 2022. Řada špičkových centralizovaných kryptoměnových těžkých vah také zkolabovala kvůli špatnému řízení rizik a vnitřním manipulacím.
Jak se krypto segment blíží k Novému roku, U.Today rekapituluje nejnebezpečnější kryptografické podvody, jejich kořeny, návrhy a ztráty, které způsobily. Připravili jsme také krátký přehled nejčastějších kryptografických podvodů na sociálních sítích, které denně cílí na miliony uživatelů.
Krypto podvody a hacky roku 2022: Rychlá fakta
Podle četných cybersec zpráv se během prvních 11 měsíců roku 2022 podařilo hackerům a podvodníkům ukrást bezprecedentní částku 4.2 miliardy dolarů v kryptoměně, což je o 37 % více než v roce 2021, kdy byly klíčové kryptoměny 2x-3x dražší.
- Největší útoky byly provedeny proti cross-chain protokolům — můstkovému mechanismu Axie Infinity Ronin a multiprotokolovému ekosystému Wormhole.
- Kolapsy ekosystému Terra (LUNA), jeho hlavního protokolu DeFi Anchor Protocol (ANC) a stablecoinu TerraUSD (UST) vázaného na USD přispěly k fázi medvědí recese ve 2. až 4. čtvrtletí roku 2022.
- Drama kolem dnes již neexistující kryptoburzy FTX a přidružené obchodní firmy Alameda Research bylo největším kolapsem centralizovaných služeb v roce 2022.
- Navzdory tomu, že největší hacky jsou široce diskutovány v médiích, velká většina kryptografických podvodů je organizována pomocí starých metod: falešné výsadky, škodlivé „programy pro obnovu“, schémata podvodné arbitráže a podobně.
- Řada hlavních hacků se zdála být operacemi bílého klobouku: útočníci vrátili ukradené peníze výměnou za působivé odměny za chyby.
- Téměř 12 % všech tokenů BEP-20 a 8 % tokenů ERC-20 je podvodných; Denně se spustí 350 nových podvodů.
V tomto přehledu budeme označovat záměrně spuštěné podvody a projekty, které byly původně legitimní, jako „podvody“, zatímco „hacky“ jsou útoky třetích stran na legitimní projekty prováděné bez událostí „zasvěcených zakázek“.
Nejlepší kryptografické podvody a kolapsy roku 2022
V roce 2022 ztratily Bitcoin (BTC), Ethereum (ETH) a všechny hlavní kryptoměny ze svých ATH více než 70–80 %, zatímco ve většině postižených segmentů – metaverse tokeny, tokeny GameFi, ekosystém Solana (SOL) – střední ztráta přesahuje 90 %. Některé krypto velké společnosti nedokázaly přežít tak bolestivý pokles.
Terra (LUNA)/Terra USD (UST)
Platforma pro chytré smlouvy Terra (LUNA) kompatibilní s EVM patřila mezi nejvíce přeháněné zabijáky Etherea (ETH) v roce 2021. Lví podíl na její TVL se však soustředil na Anchor Protocol (ANC), jednoduchý zemědělský stroj s výnosem, který nabízel 19 % APY na vklady v Terra USD (UST), nyní již neexistujícím stablecoinu Terra vázaném na USD. Celkem bylo v Anchor (ANC) v 20. čtvrtletí 1 uzamčeno více než 2022 miliard dolarů v ekvivalentu.
Na začátku května 2022 však někdo začal agresivně posílat UST do poolů na Curve Finance (CRV) DeFi a vyměňovat tokeny na USD Coin (USDC). UST ztratilo svůj kolík. Terraform Labs a její generální ředitel Do Kwon začali vstřikovat likviditu do mechanismu UST/LUNA. Díky masivnímu náběhu kapitálu však LUNA i UST klesly téměř na nulové hodnoty. Blockchain Terra (LUNA) byl nadobro zastaven.
Jak již bylo uvedeno v U.Today dříve, výzkumníci odhalili, že to byly Terraform Labs, kdo inicioval kolaps: masivní převody UST byly schváleny Do Kwonem. Zakladatel Terra údajně utekl do Srbska a snaží se tam vyplatit své bitcoiny (BTC).
Tři šipky kapitál
Three Arrows Capital (3AC), který založili Su Zhu a Kyle Davies, absolventi Kolumbijské univerzity a veteráni Credit Suisse, patřil mezi nejvlivnější krypto hedgeové fondy. Díky tomu, že byl prvním investorem do Etherea (ETH), Avalanche (AVAX), Solana (SOL) a dalších, nashromáždila více než 20 miliard USD v AUM.
Zhroucená LUNA však byla jedním z klíčových prvků portfolia 3AC. Tým investoval přes 600 milionů dolarů do Terra (LUNA): tento masivní podíl byl vymazán dva týdny po kolapsu LUNA/UST.
Dne 16. června 2022 společnost FT oznámila, že 3AC nesplnila své výzvy k dodatkové úhradě kvůli ztrátám v Anchor Protocol společnosti Terra. Firma byla také pod vodou ve svých pozicích v Staked Ether (stETH) v Lido Finance (LDO) DeFi a v Grayscale Bitcoin Trust (GBTC). V červnu nedokázala splatit svůj úvěr kryptoobru Voyager. Na konci července byla firma zlikvidována soudem BVI, zatímco vedení 3AC požádalo o bankrot. Celkem 20 investorů do 3AC ztratilo přes 3.5 miliardy dolarů.
Cestovatel
Věřitel Voyager registrovaný v USA se také stal obětí špatného řízení rizik: poskytl společnosti Three Arrows Capital nezajištěnou půjčku ve výši 650 milionů USD, zatímco jeho čistá AUM činila téměř 5.9 miliardy USD. Platforma se může pochlubit 3.5 miliony zákazníků, z nichž 97 % investovalo méně než 10,000 XNUMX USD.
Obecně platí, že Voyager zkolaboval kvůli tomu, že jeho tým zvolil riskantní obchodní strategii: nabízel půjčky více obchodním službám a jednotlivým obchodníkům s kryptoměnami. Když věřitelé začali hromadně vybírat své peníze, začátkem července Voyager zmrazil prostředky zákazníků. O několik dní později požádala v New Yorku o bankrotovou ochranu.
Jelikož byla platforma zaměřena na malé maloobchodní zákazníky, její kolaps byl pro nadšence do kryptoměn nejbolestivější.
Celsia
Celsius byl ve skutečnosti první firmou, která signalizovala své problémy: v dubnu 2022 platforma oznámila, že bude držet veškerá aktiva neakreditovaných investorů v úschově: tato část zákazníků proto nebyla schopna dodat novou likviditu a získat odměny.
V květnu 2022, vyděšení dramaty UST a Terra, začali uživatelé přesouvat peníze z protokolu Celsius. 12. června 2022 společnost Celsius zmrazila finanční prostředky 1.7 milionu zákazníků (většinou drobných investorů). Stejně jako Voyager vyhlásila počátkem července bankrot.
14. července 2022 právní poradce společnosti Celsius Kirkland & Ellis sdělil, že lídři platformy byli informováni o díře ve výši 1.3 miliardy dolarů v její rozvaze.
FTX
Kolaps kryptoměnové směnárny FTX Sama Bankmana-Frieda a její přidružené společnosti Alameda Research, která investuje do kryptoměn, byl nejpřekvapivějším dramatem ve Web3: SBF a jeho tým se pokusili získat obrovskou kontrolu nad průmyslem tím, že podepsali desítky partnerství a objevili se na obálkách Forbes a již brzy.
Rozvaha Alameda Research však silně závisela na FTX Tokenu (FTT), nativní kryptoměně FTX. To je důvod, proč se celý systém zhroutil, když CEO Binance Changpeng „CZ“ Zhao začal agresivně prodávat FTT (CZ uvolnila ekvivalent přes 500 milionů dolarů).
Stejně jako ve všech podobných případech začali investoři hromadně vybírat své peníze z FTX. Platforma zastavila výběry, SBF odstoupil z funkce generálního ředitele a podal návrh na bankrot. Mezitím vyšlo najevo, že používal peníze investorů a zákazníků ve své vlastní obchodní firmě Alameda Research. Kvůli hroznému špatnému řízení byl Alameda Research dobře pod vodou. SBF byla zatčena a propuštěna na kauci, zatímco realizované ztráty z kolapsu FTX dosáhly vrcholu v ekvivalentu 9 miliard dolarů.
Nejlepší kryptohacky v roce 2022
Jak na analýza odborníků na kybernetickou bezpečnost z Merkle Science jsou mezisíťové mosty zvláště citlivé na zneužití kvůli jejich technické složitosti a vysoce experimentálnímu charakteru:
Mosty mezi řetězci jsou často náchylnější k zneužití, protože vyžadují více interakcí a schválení smluv než jiné protokoly. Mosty jsou navíc náchylnější k útokům, protože jsou provozovány neauditovanými počítačovými kódy. Kromě toho nejsou známy ani identity validátorů/uzlů, kteří transakce provádějí
V roce 2022 byly mosty primárním cílem útoků, zatímco další mechanismy DeFi byly také zneužity hackery.
Wormhole
3. února 2022 hackeři zaútočili na Wormhole, most určený k usnadnění bezproblémového přenosu hodnoty mezi heterogenními blockchainy. Kvůli zranitelnosti v kódu se jim podařilo vydat 120,000 XNUMX Wrapped Ethers (wETH) na blockchainu Solana (SOL), aniž by vložily odpovídající kolaterál Ethereum (ETH).
Hack by mohl vést k insolvenci jakékoli platformy DeFi, která by byla připravena přijmout 120,000 XNUMX wETH (vytištěných ze vzduchu) jako zástavu. Nejhorší scénář se naštěstí nekonal.
Jump Crypto, mateřská společnost služby Wormhole, vzala všechny ztráty: okamžitě doplnila 120,000 XNUMX etherů do protokolových fondů likvidity.
Ronin
23. března severokorejští hackeři z Lazarus, nechvalně známé státem podporované kybernetické zločinecké skupiny, zaútočili na síť Ronin. Ronin je postranní řetězec podobný Ethereu vyvinutý speciálně pro Axie Infinity, vlajkovou loď GameFi. Útočníci odčerpali Roninovi ohromných 568 milionů dolarů.
Hackerům se podařilo získat kontrolu nad pěti z devíti podpisů validátorů pro Ronin Bridge. Poté autorizovali dvě transakce, 173,600 25.5 etherů (ETH) a 445 milionů USD coinů (USDC). Z této monstrózní kořisti bylo vypráno přes XNUMX milionů dolarů prostřednictvím kryptomixéru Tornado Cash.
Vývojář Axie Infinity Sky Mavis získal další finanční prostředky, objednal další bezpečnostní audit od CertiK a zvýšil práh multisig z 5/9 na 8/9.
Nomád
V srpnu 2022 bylo Nomadu, víceřetězcovému přemosťovacímu mechanismu, který přesouvá hodnotu mezi Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) a dalšími blockchainy, vyčerpáno 190.7 milionu dolarů v kryptoměnách. Útočníkům se podařilo zneužít zranitelnost návrhu inteligentní smlouvy: protokol umožňoval uživatelům vybírat prostředky na cílovém blockchainu, aniž by kontrolovali, zda jsou ekvivalentní původně nasazené částce.
12/ tl;dr rutinní upgrade označil nulový hash jako platný kořen, což mělo za následek umožnění falšování zpráv na Nomad. Útočníci toho zneužili ke kopírování/vkládání transakcí a rychle vyčerpali most ve zběsilém free-for-all
— toto je nyní shitpost účet (@samczsun) Srpna 2, 2022
Jednoduše řečeno, po pravidelném upgradu mohli uživatelé vložit 1 ETH na Ethereum (ETH) a požádat o výběr ekvivalentu 100 Ethereum (ETH) z Avalanche (AVAX).
Jde o to, že každý technicky zdatný Web3 nadšenec dokázal replikovat tento útočný vektor a ukrást finanční prostředky Nomadovi ještě před vydáním opravy. Mnoho vývojářů Ethereum (ETH) jako takové stáhlo finanční prostředky, jen aby je poslali zpět týmu Nomad: zpět bylo zasláno téměř 40 milionů dolarů.
Čahoun
Dne 16. dubna 2022 byl projekt stablecoinů Beanstalk (BEAN) založený na Ethereu napaden sofistikovaným útokem na flashovou půjčku. Zločincům se totiž podařilo získat bleskovou půjčku na Aave Finance (AAVE) a nakoupit množství tokenů vládnutí nezbytných k převzetí kontroly nad protokolárními referendy v řetězci.
Poté útočníci získali hlasovací nadpoloviční většinu a schválili převod peněz na svůj vlastní účet. Když bylo převedeno 180 milionů dolarů, bleskovou půjčku okamžitě splatili; čistý zisk přesáhl 80 milionů dolarů.
zimní mut
V září 2022 se Wintermute, jedné z největších platforem pro tvorbu trhu, vyčerpaly peněženky za 160 milionů dolarů. Útočníci odhalili, že některé z klíčových peněženek Wintermute byly vytvořeny pomocí Profanity, generátoru „marných adres“ pro síť Ethereum (ETH). Takové programy mohou vytvářet kryptopeněženky s lidmi čitelnými adresami, např. 0xJohnDoe1111… a podobně.
Kvůli zranitelnosti v designu Profanity se útočníkům podařilo brutálně vynutit marnost adresy a obnovit soukromé klíče. Útok se stal možným díky značným výpočetním zdrojům využívaným zločinci.
Bonus: Nepodléhejte těmto dlouhotrvajícím podvodům
Vedle sofistikovaných scénářů, které zahrnují bleskové půjčky ve výši 1 miliardy dolarů, se tu a tam objevují severokorejští hackeři a působivý hardware pro brutální násilí, velmi primitivní podvodné kampaně. Od roku 2022 jsou v kryptoměnách velmi běžné tři návrhy útoků:
1. Falešné výsadky. Pro spuštění tohoto podvodu zloději buď uspořádají reklamní kampaň na YouTube, nebo umístí svou reklamu na Twitter. Poté oznámí, že internetová celebrita (Snoop Dogg), špičkový technologický podnikatel (Vitalik Buterin nebo Elon Musk) nebo dokonce politik (Donald Trump) vypouští kryptoměnu. Všichni, kdo jsou připraveni uplatnit své bonusy, by měli buď poslat počáteční vklad (který by byl údajně vrácen se 100% ziskem) nebo své soukromé klíče. Netřeba dodávat, že obě skupiny přijdou o své vklady nebo všechny peníze ze svých peněženek.
Jak se chránit: Nikdy neposílejte své peníze „organizátorům airdrop“ ani nezveřejňujte své soukromé klíče nebo počáteční fráze.
2. Ručně vyrábění roboti MEV. Maximální vytěžitelná hodnota (MEV) je maximální odměna, kterou mohou účastníci sítě Ethereum (ETH) získat za svůj příspěvek v procesu ověřování bloků. Sofistikované techniky nám umožňují těžit z optimalizace MEV. Podvodníci umísťují video nebo textové manuály o tom, jak sestavit své vlastní „boty MEV“, aby získali přístup k peněženkám Ethereum (ETH) a odčerpali finanční prostředky.
Jak se chránit: Vyhněte se „okamžitým“ robotům MEV z příruček YouTube.
3. Na pomoc přicházejí podvodníci. Protože rok 2022 je rozhodně rokem hacků, mnoho uživatelů kryptoměn kontroluje, zda jsou jejich oblíbené blockchainy rozbité. Podvodníci zveřejňují falešná oznámení o napadení toho či onoho projektu a spouštějí falešné „kompenzační“ programy. Všichni zájemci o odškodnění jsou požádáni, aby zaslali své počáteční fráze podvodníkům.
Jak se chránit: Zprávy o hackech sledujte pouze na oficiálních mediálních kanálech blockchainů.
Závěrečné myšlenky
V roce 2022 byla většina kolapsů vyvolána bolestivým propadem cen kryptoměn, špatným řízením rizik a chamtivostí majitelů centralizovaných produktů kryptoměn. Proto je decentralizace velký problém: davová moudrost DAO by zabránila kolapsům na úrovni FTX/Celsius/Voyager.
Mezitím by se produkty on-chain měly starat o bezpečnostní audity, aktualizace a správu soukromých tryskáčů.
Zdroj: https://u.today/top-10-crypto-scams-and-hacks-of-2022